Erfolgreicher Angriff

Hallo Ralph,

danke für Deinen stets wiederkehrenden erhobenen Finger – und das meine ich sehr positiv, denn das Problembewußtsein ist anscheinend verbreitet sehr gering.

Und selbst diejenigen, die sich des Sicherheitsproblems bewußt sind, haben oft zu wenig Wissen, um Ihre Anwendungen wirklich "dicht" machen zu können.

Ich bin schon länger auf der Suche nach einem "Sicherheitsworkshop" o.ä. – vielleicht fällt Dir etwas dazu ein?

Mir schwebt beispielsweise ein Wochenende im eher kleinen Kreis vor, wo jemand mit passender Kenntnis die häufigsten Hackversuche vorführt. Im Idealfall sollten dann die Seiten der Teilnehmer mit allen Tricks auf Sicherheit geprüft werden, um dann die entsprechenden Gegenmaßnahmen zu erläutern.

Um noch ein wenig konkreter zu werden: bei uns wäre Platz, einen Workshop mit 8–10 Personen durchzuführen; eine kleine, aber feine Pension gibt\'s um die Ecke. Bahnanschluß hat Flörsheim-Dalsheim auch zu bieten.

Vielleicht finden sich hier ein paar Interessierte und vor allem ein Sicherheits-Berufener, der das passende Wissen vermitteln könnte?

Gruß
winelady

Hallo Hildegard

Der Gedanke ist ja nicht schlecht aber warum nicht so einen Workshop in einem abgeschlossenen Bereich des Forums durchführen.

Im Grunde läuft es doch darauf hinaus Formulare dicht zu machen. Url Manipulation zu vermeiden. Und Datenbankabfragen sicherer zu gestalten.

Und je ungewöhnlicher man vorgeht umso besser sind die Chancen.

Gruß
Jörg

Hallo Jörg,

auch ein "geschlossener" Bereich im Forum könnte gehackt werden :mrgreen:

Scherz beiseite, ein Onlinetreffen über das Forum wäre durchaus auch denkbar, als Plan B. Mir wäre eine echte, persönliche Runde lieber, gerne auch anderswo. Warten wir doch mal ab, ob überhaupt ein paar Interessenten und vor allem ein "Wissensträger", der bereit ist, seine Weisheit zu teilen, zusammenkommen.

Gruß
winelady

Hallo Zusammen!

Folgende Gedanken zu so einem Workshop.
* kann mir kaum vorstellen das jemand seine H-Strategie bzw. Vorgehensweisen ohne weiteres raus gibt. Würde auch keinen Sinn machen, da Angriffe X-Mal komplexer sind als die Abwehrmaßnahmen die zu treffen sind.

Wie Hildegard bereits schrieb handelt es sich in der Regel um fehlendes Wissen. Auch wie man Anwendungen dicht bekommt, hat hier wenig Sinn, da es mit Programmier-Kenntnissen verbunden ist.

So stimme ich Jörg zu, es sollte ein E-Workshop sein, da vermitteltes Wissen jeder selbst ausprobieren muss. Beispielsweise hat der ein oder andere zu viel "Respekt" die Verzeichnisrechte anzupassen(sperr ich mich dann aus, geht dann irgendwas nicht mehr ..usw.). Selbes mit der .htaccess .....

Wie am besten Vorgehen?
* Probleme und Fragestellungen formulieren
** Die dann in einfache und nach-machbare und verständliche Antworten fassen(dann kann jeder selbst häkeln lernen ohne sich seine Live-System zu zerschießen)
* Gern genommene Trojaner/Viren in der Funktionsweise erklären. Diese kann man relativ einfach in "Bauarten bzw, Typen" unterteilen. Dabei muss man nicht genau verstehen wie sie gebaut sind, sondern was Sie an welchen Stellen an Schaden anrichten. (Diese Lücken lassen sich oft recht einfach abdichten)
* CMS/Framework bekannte Sicherheitslücken
* Umgang mit 3. Anbieter-Framework Erweiterungen(hier ist meiner Meinung nach die größte Gefahr, da installiert wird was irgendwo im Netz gefunden wurde).

Die Leute die Probleme oder Fragen haben, sollten diese Anonym einreichen können. So kann keine Verbindung zwischen dem vorhandenen Wissen des Webmasters und deren Apps hergestellt werden.

Hallo Roman

Ich habe jetzt nicht schon eher an was abgeschlossenes gedacht weil man in einem kleineren Kreis dem man vertrauen kann eher mal was preisgeben kann.

Im Grunde sind es aber nur gewisse Techniken die man anwenden kann um schon viel abdecken zu können.

Wahrscheinlich kann ich auch noch dadurch lernen nur das was ich schon anwende könnte man durchaus mal auch erläutern zumindest im Prinzip.

Die Frage wäre mehr wieviele überhaupt an sowas Interresse überhaupt haben.

Bei mir würde ich persönlich den Vorteil sehen das was ich anwende mal mehr mit OOP zu verknüpfen.

Und halt eben noch einen Punkt den ich jetzt kennengelernt habe noch stärker einfliessen zu lassen.

Andererseits könnte man sich auch mal eine Subdomain zum Vorführen in der Praxis bauen.

Eigentlich mal eine gute Idee um ein Test Template zu bauen und dabei die Praxis auch vorzuführen was man so vermeiden kann.

Gruß
Jörg

Es wäre doch schon sehr hilfreich, wenn Matthias (SR) hier eine Übersichtsseite für Sicherheitsmaßnahmen integrieren würde.

Dort könnten dann einmal die Basics tabellarisch abgebildet werden, und vielleicht noch Besonderheiten für die unterschiedlichen CMS Systeme.

Ich bin mir sicher, dass einige User hier dabei helfen würden.

Der ein oder andere Punkt könnte dann sogar noch in Analyse übernommen werden, wie z.B. Passwortschutz für den Admin-Bereich...

Gruß Matthias

Hallo Roman,

Wie am besten Vorgehen?
* Probleme und Fragestellungen formulieren

ohne das Wissen, was alles passieren kann, kann man nur schwer konkret nachfragen.

Ich unterteile die Hacker nach ihren Zielsetzungen in mehrere Kategorien. Sie wollen
1. Daten stehlen – Kreditkarten/Kontodaten
2. die angegriffene Webseite stören oder sogar zerstören
3. Malware verbreiten
4. ? 

Hierzu braucht der sicherheitsbewußte Webmaster folgende Infos:
1. Wo kann ein Hacker überhaupt rein? Klassische "Löcher" = Einbruchstellen?
2. Was kann bei welchem Einbruch schlimmstenfalls passieren?
3. Wie geht der Einbruch vonstatten – und wo und wie kann ich ihn konkret unterbinden?
4. Falls schon einer eingebrochen ist – woran merke ich es, wie stelle ich es ab?

Auch wie man Anwendungen dicht bekommt, hat hier wenig Sinn, da es mit Programmier-Kenntnissen verbunden ist.

Genau das ist der Punkt! Wer ordentlich dicht machen will, der wird ein wenig programmieren oder zumindest die Einbindung passender Scriptteile lernen müssen.
Es braucht zur Abwehr niemand zu lernen, wie man eine Datenbank von außen zerlegt, aber der Webmaster sollte die möglichen Gefahrenpunkte konkret kennenlernen, um die Sicherheit seiner eigenen Seite testen zu können.

Von Anonymität halte ich im geschlossenen Bereich nichts; wer in einem solchen Workshop seinen Namen nicht nennen mag, hat möglicherweise nicht die feinsten Absichten.

Gruß
winelady

na, da habt ihr euch den richtigen rausgesucht..

anonyme grüsse